導入事例株式会社ビヨンド様
MSP事業者に求められる脆弱性診断
- 主な業務
- MSPを中心にシステム開発や負荷試験、脆弱性診断も提供
- サービスの規模
- 国内3拠点(大阪、横浜、徳島)の他、海外(北米、中国)にも展開
- 脆弱性検査での課題
- MSPでお預かりするWebアプリケーションの脆弱性診断
「サーバーのことは全部丸投げ」をコンセプトに、インフラエンジニアが24時間365日対応するMSP事業のほか、オンライン予約システム EDISONE、Webサイト監視ツール Appmillなど自社サービスも展開している株式会社ビヨンド。近年ではカナダや中国深圳にも事業拠点を展開するなど、急速に事業を拡大している。
今回はVAddyの販売パートナーとしてもご協力いただいている同社のインフラ部隊であるシステムソリューション部 部長の柏木宏文氏にお話を伺った。
ビヨンドについて
株式会社ビヨンドは、MSP(マネージドサービスプロバイダー)事業を中心にビジネスを展開しています。お客様が運営するサービスのサーバーをお預かりして24時間365日監視運用するというのが基本の業務です。MSP事業者の中には深夜の時間帯はサポート担当者が受付をするだけというところもありますが、弊社の場合は時差が14時間ある日本とカナダ(トロント)の2拠点で監視していますので、日本の深夜の時間帯でもインフラエンジニアが対処までできるというのが一番の強みです。
また、インフラに関連する部分だと負荷試験や脆弱性診断、システム開発や自社サービスの開発と販売も行っています。
VAddyとの出会いと印象
VAddyを知ったのはビットフォレストさんが2018年にVAddy販売パートナー募集のプレスリリースを出されたときです。
以前からお客様からWebアプリケーションの脆弱性診断についてご相談いただくことがあり、特に弊社がお預かりするインフラ上で動くアプリケーションについて、大手企業の会社様やシステム開発会社様などからリリース前診断を求める声が多くありました。中にはすでにリリース後でも未診断のアプリケーションに関する相談をいただくこともあります。
それまでプラットフォーム診断系のツールは経験がありましたが、Webアプリケーションの脆弱性診断ができるちょうど良いツールを見つけることができておらず、そのタイミングでVAddyのプレスリリースを拝見して、お声掛けしました。
過去に利用した診断ツールと比べてVAddyは非常に使いやすく、現場で大いに役立っていると感じています。今では社内でVAddyを操作できるのは5〜6人程度まで増えましたが、利用開始前に特別な勉強会やトレーニングは行っていません。最初にVAddyを利用したスタッフも苦労なく使えるようになったと聞いています。
基本的にはサポートドキュメントを見ることはありませんが、困ったときでも自分で調べることができ、最後には直接VAddy開発チームに問い合わせることができるのも助かっています。
VAddyを使った診断代行サービス
弊社ではVAddyを直接契約するケースと、代理店としてVAddyを販売するケースがありますが、どちらの場合も主に弊社のエンジニアがVAddyを使用して診断を代行しています。
外部の開発者が制作したアプリケーションを対象とする場合、事前にお客様から対象アプリケーションのURLリストをいただきます。これをもとに画面遷移やユーザーの挙動などをヒアリングし、VAddyのクロール(テストシナリオ)を作成します。
VAddyだとURLリストの取得から診断の実行までのスピードが非常に速いため、緊急のプロジェクトでも対応できます。例えば、今月中にリリースしなければならないプロジェクトでも、"できる"という自信を持てます。効率的に活用すれば、非常に短いサイクルで診断を行うことが可能で、これは大変助かる点です。
おかげさまで、当社のシステムソリューション部はクロールの作成に関する多くのノウハウを蓄積しており、URLリストを提供いただければ、お客様にヒアリングをしながら診断を代行できるようになりました。
また、お客様のアプリケーションだけでなく、当社自身が開発したサービスでもVAddyを活用しています。たとえば、当社のEDISONE予約サービスにはクラウド利用可能なタイプと、お客様のご要望に合わせてカスタマイズできるタイプがあります。特にカスタマイズタイプの場合、リリース前に脆弱性診断が必ず要求されるため、VAddyを使用して脆弱性診断を行っています。
MSP事業者に求められる脆弱性診断
「Webアプリケーションの脆弱性」というと、一般的にはプログラム側の修正が必要なものとインフラ側の設定が必要なものに大別されます。脆弱性への対応にはこの切り分けが必要になるので、弊社のようなアプリケーションの開発経験を持つインフラチームに依頼されることがあります。
したがって、MSP事業で他社が開発したアプリケーションをお預かりする場合も、開発会社様から切り分けを含む相談がよく寄せられます。本来は開発者がVAddyを使うのが良いのでしょうけど、現状ではインフラ側が脆弱性診断を行う方が多いと思います。
最近は新たに公開されるようなシステムでは基本的に脆弱性診断のフェーズをスケジュールに盛り込んでいることが多く、受託開発案件において納品物とセットで脆弱性診断を実施するケースは増えている感覚があります。もちろん自社サービスについても契約前のセキュリティチェックシートの提出を要求されることがほとんどです。
要求される脆弱性診断のレベルは案件によって異なりますが、「基準」という意味ではIPAのチェックリストかOWASP TOP10のどちらかに言及されることが一般的です。通常、VAddyの検査で不足する項目はほとんどありませんし、IPAのリストへの準拠を求められる場合もVAddyで対応できます。ただし、OWASP TOP10への準拠を希望される場合は手動の脆弱性診断が必要であり、予算とスケジュールの制約を考慮する必要があります。
ちなみに、VAddyの検査結果では検出された特定のURLとパラメーターにまでは分かるのですが、具体的な修正方法までは提示されません。そのため、弊社で診断を代行する場合はインフラの側面からも具体的な修正提案できるというのが強みです。
ブラウザ拡張を使ったクロール作成について
先月リリースされたブラウザ拡張機能を使用したクロール作成にも期待しています。Proxyを使用したクロール作成では、リアルタイムでどのURLが記録されているかを確認できないという制約がありましたが、新しい機能がそれを解決しているとのことで、期待しています。
